Das Zertifikat selber muß auch nicht unbedingt direkt bekannt sein.
Es reicht auch, wenn ein zugrundeliegendes Zertifikat dem Windows bekannt wäre.

Ist schließlich bei den normalen Code-Signing-Zertifikaten auch nicht anders, wo ebenfalls Windows "dein" Zertifikat selbst garnicht kennt, aber dort vertraut es dann eben der Zertifikatsaussteller.
OK, abgesehn von den Selbst-Signierten, welche man wirklich direkt bekannt macht.

Die ElsterRootCA ist aber eben keine Standardausgabestelle. Deshalb lassen sich deren Zertifikate auch nicht einfach so validieren. Ich habe es ja ausprobiert.